Hackeos en Ethereum en 2022

Una brecha de backups cifrados de LastPass llevó a un drenaje multianual a víctimas que guardaban seed phrases; las pérdidas pasaron de 35 M$ a más de 400 M$.

Una operación de SIM-swap drenó 477 M$ de wallets de FTX en horas tras la solicitud de Chapter 11, explotando el caos del mayor colapso cripto desde Mt. Gox.

Un atacante drenó 28 M$ de las hot wallets BTC/ETH/USDC de Deribit; el mayor exchange de opciones lo cubrió con su balance, sin tocar el cold storage.

Team Finance perdió $15,8M en migración Uniswap v2-a-v3: tokens bloqueados movidos a par v3 sesgado y reembolsados como 'sobrante' por $2.700 en gas.

Drenaron $2,3M del StaxLPStaking de TempleDAO tras que migrateStake() no validara al llamante, permitiendo migrar la posición completa de cualquier staker.

Usuarios de Transit Swap con aprobaciones infinitas perdieron $21M cuando claimTokens no validaba el token a llamar en transferFrom. 70% devuelto.

Wintermute perdió $160M de una hot wallet cuya dirección vanity generada por Profanity usaba semilla PRNG de 32 bits que permitía fuerza bruta. Lo sabían.

Atacantes hijackearon el DNS de curve.fi vía el registrador y sirvieron un frontend con wallet-drainer, robando ~$575K. Contratos intactos.

Una actualización rutinaria marcó el hash cero como raíz válida, convirtiendo cada mensaje de Nomad en un retiro que cualquiera podía copiar y pegar.

Un atacante explotó un fallo del inicializador de Audius para auto-delegarse 10 billones de AUDIO y aprobar una propuesta que drenó $6M de la tesorería.

Lazarus comprometió 2 de 5 claves multi-firma del puente cross-chain de Harmony y drenó 100 M$; el quorum 2-de-5 estaba por debajo de su perfil de riesgo.

Una reentrada en exitMarket() drenó 80 M$ de los pools Fuse de Rari Capital, una función que el equipo olvidó proteger al parchear reentrada el mes anterior.

El metapool sUSDv2 de Saddle perdió $11,9 M cuando un bug conocido de MetaSwapUtils se redesplegó por error; bots de BlockSec rescataron $3,97 M.

Un préstamo flash de $1B compró el 67% de la gobernanza de Beanstalk en un bloque, aprobando una propuesta que drenó la tesorería. Neto: $76M de $182M.

15,6 M$ drenados de Inverse Finance al manipular su oráculo Keep3r INV/ETH vía un bundle de mempool privado, esquivando el TWAP en un solo bloque invisible.

$2 M drenados de Revest Finance vía reentrada en mintAddressLock/depositAdditionalToFNFT que permitió al atacante mintear NFTs sobrevalorados y redimirlos.

Compromiso de claves privadas de validadores drenó 173.600 ETH y 25,5 M USDC del puente Ronin — el mayor hackeo cripto en ese momento.

Un compromiso de clave privada drenó 10 M$ de Dego Finance en Ethereum y BNB Chain, barriendo pools de liquidez y wallets de usuarios con aprobaciones activas.

Un bypass de verificación de firmas en el lado Solana de Wormhole permitió al atacante acuñar 120.000 wETH de la nada — sin colateral en Ethereum.

Un atacante engañó al puente BSC de Qubit para mintear 77.162 qXETH ($185 M nominales) sin depositar ETH, pidiendo prestados 206.809 BNB ($80 M).

Un exploit de bypass del 2FA drenó $34M de 483 cuentas de Crypto.com; los atacantes autorizaron transacciones sin que el 2FA se solicitara al usuario.